DSGVO in der Schweiz

Diese Empfehlungen stellen keine fundierte Rechtsbasis dar. Ich habe mich mit den Bestimmungen der DSGVO zwar intensiv beschäftigt, um die entsprechenden Regelungen verstehen und zusammenfassen zu können, bin aber weder Jurist noch Datenschutzexperte. Obwohl ich mit aller angemessenen Sorgfalt auf die Richtigkeit geachtet habe, kann hinsichtlich Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie für allfällige Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben, keinerlei Gewähr übernommen werden.

DSGVO – ein schwieriges Thema in der Schweiz, denn die Informationen bezüglich Schweiz sind spärlich und die Bedingungen sehr individuell. Mit der DSGVO wurde per 25.05.2018 ein einheitliches Datenschutzrecht für die gesamte Europäische Union eingeführt und betrifft alle, die personenbezogene Daten erheben oder verarbeiten (nicht nur im EU-Raum).

Personenbezogene Daten sind Informationen, die sich konkret auf eine Person beziehen (z.B. Name, Anschrift, Bankverbindung, Email-Adresse oder IP-Adresse). Bei Verstössen können Bussgelder bis zu 20 Millionen Euro oder bis zu 4 Prozent des Umsatzes verhängt werden.

Das überarbeitete Datenschutzgesetz in der Schweiz wird bald aktuell; welche Anforderungen dieses bringen wird ist offen, wird jedoch meines Erachtens ähnlich dem EU-Gesetz sein. Sprich; die neuen sicherheitstechnischen Anforderungen sind auch in der Schweiz in absehbarer Zeit unumgänglich.

Was gilt es zu beachten?

Impressum
Seit April 2012 besteht in der Schweiz die Pflicht ein Impressum auf einer Website abzubilden. Zwingend sind Angaben zum Unternehmen (Betreiber der Webseite mit Namen und Kontaktdaten).

Auftragsverarbeitungsvertrag mit Hoster
Der Hoster hostet nicht einfach Webseiten, sondern speichert Zugriffe in den Server-Logs oder überträgt bzw. speichert Mails. Daher sollte mit ihm einen Vertrag zur Auftragsverarbeitung abgeschlossen sein.

Datenschutzerklärung
In der Datenschutzerklärung müssen zwingend Angaben zu verwendeten Statistik-Tools, Social Media-Plugins, Newsletter-Tools, Umfragetools, etc. enthalten sein: Welche Tools werden verwendet und an welche Standorte werden die Daten übermittelt? Auch alle Dienste (Cloud-Anwendungen), in welchen Daten gespeichert oder verarbeitet werden, müssen darin aufgeführt werden. Zusätzlich müssen die Besucher auf das Auskunftsrecht, Beschwerderecht und Widerrufungsrecht hingewiesen werden.

HTTPS statt HTTP
SSL-Verschlüsselung (sichtbar am Schloss-Symbol und HTTPS in der URL) sollte Standard einer Firmen-Website sein. Diese Verschlüsselung sorgt dafür, dass Daten (auch personenbezogene) sicher übertragen werden.

Google Analytics
Wenn Google Analytics eingebunden ist, muss ein Vertrag mit Google zur Auftragsverarbeitung abgeschlossen werden und einem “Zusatz zur Datenverarbeitung” zugestimmt werden. Zudem sollte sich ein Hinweis in der Datenschutzerklärung finden, dass Google Analytics eingesetzt wird und deshalb IP-Adressen gesammelt werden.

Cookies
Die DSGVO verlangt einen Hinweis auf Cookies, Tracking und auch eine Widerspruchsmöglichkeit. Es wird empfohlen das Opt-In Verfahren zu implementieren. Dabei wird beim Betreten der Webseite kein Cookie gesetzt. Erst wenn der User sein OK gibt, wird der Tracker aktiv. Wenn er dies nicht tut oder auf einen Ablehnen-Button klickt, werden auch keine Cookies gesetzt. Unabhängig davon muss in der Datenschutzerklärung die Information zu Cookies (u.a. Google Analytics, Social Media) festgehalten werden, da diese IP-Adressen speichern und weitergegeben. IP-Adressen gelten als personenbezogene Daten und fallen damit unter den Datenschutz.

Dokumentationspflicht
Es muss ein Verzeichnis der Verarbeitungstätigkeiten der personenbezogenen Daten erstellt werden.

Google Webfonts
Mit Google Webfonts wurde es möglich nebst Arial, Times New Roman etc. auch individuelle Schriften im Internet sichtbar zu machen für verschiedenste Browser. Empfehlung der DSVGO: speichern Sie die Google-Schriften lokal und prüfen die Lizenz dafür.

Social Media Accounts
Wenn Teilen oder Like-Buttons von Facebook oder Twitter verwendet werden, senden diese personenbezogene Informationen an den jeweiligen Dienst. Eine Möglichkeit ist diese von der Website zu entfernen. Oder aber Sie weisen die User darauf hin (siehe «Cookies»). Auf Social Media-Profilen (z.B. Facebook, Instagram etc.) muss das Impressum und die Datenschutzerklärung aufgeführt oder verlinkt werden.

Kontaktformulare und Newsletter
Der Absender muss über die Verwendung seiner Daten informiert werden. Nur wirklich relevante Daten einfordern. Zudem muss der Nutzer um Erlaubnis gefragt werden, wenn seine persönlichen Daten für einen bestimmten Zweck verarbeitet werden sollen. Formulare müssen verschlüsselt sein (siehe «von HTTP auf HTTPS wechseln»).

Meldung an Aufsichtsbehörde
Wenn man merkt, dass personenbezogene Daten gestohlen wurden (z.B. gehackt worden), muss das innert 72h gemeldet werden.

Datenschutzvertreter in der EU
Das EU-DSGVO verlangt, dass der Webseiten-Betreiber einen Vertreter in einem Land der EU hat und diesen auf der Webseite mit Kontaktdaten aufführt, sobald Daten von Bewohnern der EU verarbeitet, gespeichert oder analysiert werden. Wenn weniger als 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, muss kein Datenschutzbeauftragter benannt werden.

Stand Mai 2018